Stuxnet 2, le fils de Stuxnet ou encore le précurseur d'une prochaine attaque de type Stuxnet. Les sociétés de sécurité rivalisent de qualificatifs pour caractériser la menace Duqu* suite à sa découverte par Symantec.
Stuxnet a beaucoup fait parler de lui l'année dernière. Sa conception très élaborée lui a permis d'exploiter plusieurs failles Windows. Une caractéristique extrêmement rare, dans la mesure où un malware se contente généralement d'exploiter une seule faille.
Stuxnet visait les systèmes de supervision industrielle et d'acquisition de données ( SCADA ) qui utilisent le logiciel WinCC de Siemens. L'Iran - avec des ordinateurs de la centrale nucléaire de Busher - semble avoir été la principale cible de Stuxnet, ce qui a relancé les suppositions d'une cyberattaque organisée par un État.
Des parties de Duqu contiennent du code source issue du dernier échantillon connu de Stuxnet, ce qui attire obligatoirement l'attention sur lui, même si son but paraît bien différent. Symantec souligne que Duqu ne contient pas de code relatif à des systèmes de contrôle industriel, et est avant tout une menace de type cheval de Troie ( et plus précisément Remote Acces Trojan ; accès à distance ) qui ne se réplique pas.
Duqu ne serait donc pas destiné à des opérations de sabotage industriel directes, mais plus à collecter des informations qui pourraient aider à mener ultérieurement des attaques à l'encontre d'installations industrielles.
Duqu possède des fichiers .sys ( drivers ) signés avec un certificat volé appartenant à une société taïwanaise dénommée C-Media Electronics Incorporation. Pour Stuxnet, des certificats avaient également été dérobés à des sociétés taïwanaises ( RealTek et JMicron ).
Les éditeurs d'antivirus mettent à jour leurs solutions pour détecter Duqu ( sous Windows ) qui a été repéré en Europe. À noter cette singularité de Duqu qui est programmé pour être actif pendant 36 jours, après quoi il s'auto-supprime. De quoi laisser moins de traces d'une infection.
* nom Duqu en rapport avec les fichiers au préfixe ~DQ créés lors de l'infection.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.